Угроза национальной безопасности или бред параноика?

[bondbig]

ICANN не подконтрольна непосредственно правительству, насколько мне известно. А роль ключников запросто могут взять на себя всё те же, кто сейчас ssl-ключи подписывает.

[rlepricon]

Хорошо, даже если будет не ICANN, будет другая организация, в руках которой будет механизм регулирования доступа к информации.

[haskel]

Вы можете использовать тот DNS-сервер, который хотите. Можете использовать три разных и сверять результаты.
Можете хоть свой DNS-сервер поставить.
Вообще паниковать можно с того места, где ваш кабель подключается к розетке провайдера, если очень хочется.

[d0z]

Чет в целом все так мутно и непонятно, спешите вы делать выводы имхо)

[3al]

отключить каждого пользователя, каждый узел сети от службы DNS всего лишь отозвав сертификат

И? Пользователь может верить и самоподписанному (или подписанному другим центром) сертификату.
Да и отозванный сертификат означает всего лишь что центр сертификации уже не ручается за этот сервер. Это как минимум не хуже обычного DNS.

[rlepricon]

Пользователь да, но будет ли DNS сервер принимать запросы от пользователя с самоподписанным сертификатом?

[3al]

Кто-то собирается подписывать сертификаты каждого пользователя? Удачи в нелёгком деле.
Тот же https спокойно работает без этого.

[amarao]

А корневые DNS-сервера вас не смущают? Кто зону делегирует, тот и подписывает делегируемых.

Другое дело, что DNS должен быть распределённым. Но уж как есть, так есть. Добавление Sec в DNS никаким образом не увеличивает его зависимость от владельца корневой зоны. Раньше мы их просто спрашивали, теперь будем ещё и подпись проверять. Делов-то.

PS Вам никто не мешает поставить свой кеширующий DNS-сервер, который будет выдавать свой сертификат и свою подпись.

[qehgt]

Про то, как этот ключ генерируют:
DNSSEC: генерация главного ключа

[rlepricon]

вот ещё рассуждения на эту тему: dxdt.ru/2009/11/15/2787/